UNIVERSIDAD POLITECNICA DE NICARAGUA

UPOLI

Mara Anglica Quintana Miranda

Kelvin Joel Morales Ramrez
Miguel Antonio Hernndez Mndez

Docente:
Lic. Claudia Benavidez
Introduccin:

Para que la seguridad Fsica y lgica de la estructura informtica no puede ser

vulnerable debe existir un enlace entre la tecnologa, el proceso y los usuarios o
personas y que estos tres elementos funcionen de una manera coordinada.

Las organizaciones son responsables de la proteccin de la informacin que

gestionan ante las amenazas de este entorno y deben por todos los medios
disponibles, garantizar su confidencialidad, integridad y disponibilidad.

La seguridad no es un producto: Es un proceso. Un proceso continuo que debe

ser controlado, gestionado y vigilado.

Objetivo General:

Entender el proceso de la auditoria de la seguridad Fsica, Seguridad Lgica y

Seguridad de los datos.

Objetivo Especfico:

Conocer como es el proceso de la auditoria de la seguridad de los datos

1. Seguridad Fsica:

La seguridad fsica posee un valor fundamental dentro de la actividad empresarial

en la actualidad, esta requiere de mucha atencin, comprensin y de mltiples
estrategias para mantenerla en la primera plana en la empresa. En general
podemos decir que la seguridad fsica busca la continua proteccin del personal,
de los bienes, de las instalaciones y por supuesto de los procesos de negocio de
la empresa. Cuando mencionamos la proteccin de los bienes tambin se incluye
una amplia apreciacin de la parte informtica, los recursos tecnolgicos utilizados
en s, ya que estos son recursos de gran valor en la empresa. De tal forma
debemos comprender que la seguridad fsica es y ser parte esencial en una
empresa, por tanto se tiene que tener un diseo de seguridad fsica efectivo para
salvaguardar en gran parte todos estos recursos y al personar tambin.
Para poder entender y saber que diseo de seguridad fsica es viable y tendr los
mejores resultados, sabemos que jugara una parte importante la auditoria de la
seguridad fsica, en trminos generales Piattini define que la auditoria en
seguridad fsica tendr como principales objetivos la evaluacin de la proteccin
fsica de los datos, programas, instalaciones, equipos, redes y soporte, Piattini
describe tambin que la auditoria en seguridad fsica toma en cuenta al personal
que labora en las distintas reas de la empresa, en tal caso nos damos cuenta que
se toman en cuenta distintos enfoques que van desde los recursos tecnolgicos
como tal, hasta los recursos humanos. En tal caso la auditoria en seguridad fsica
evala que el personal este protegido, tomando en cuenta aspectos meramente
estructurales y lgicos como:

1. Medidas de evacuacin ante posibles catstrofes.

2. Sistemas de alarmas en toda la entidad.
3. Salidas de emergencias alternativas adems de las preestablecidas.
4. Exposicin a riesgos superiores a los admisibles en la entidad.

Durante el proceso de auditoria en la seguridad fsica se toma en cuenta la

proteccin especial de quienes estn en el rea o de aquellos daos que puedan
afectar a los usuarios de los sistemas, vale recalcar que esto ser as si estos
entran en el proceso de auditoria como tal.

No existe seguridad sin amenazas. En este caso Piattini recoge una serie de
amenazas que afectan como tal de forma directa o indirecta a una entidad, para
diferenciar a las amenazas, tenemos:

Clasificacin de amenazas Tipos de amenazas

De carcter humano Sabotaje, vandalismo, terrorismo
De carcter natural o climtico Incendios, inundaciones,
derrumbamientos, explosiones
Error humano Errores, negligencias, averas
importantes
De carcter laboral Huelgas
De carcter sanitario Epidemias, intoxicaciones

En trminos generales consideramos que el desarrollo de la auditoria en seguridad

fsica depender de las circunstancias especficas de cada empresa o entidad, es
decir, la auditoria se debe ajustar a las necesidades particulares que cada entidad
tenga con respecto a la seguridad fsica o a la problemtica de proteccin fsica
que posea la entidad.

Durante el desarrollo de una auditoria de seguridad fsica, debemos de tomar en

cuenta los aspectos relacionados con la proteccin fsica, en general desde la
perspectiva de la proteccin fsica encontramos:

1. La ubicacin del centro de procesos, de los servidores locales, y en general

de cualquier elemento que la entidad desee proteger.
2. Estructura, diseo, construccin, distribucin de los edificios as como de
sus plantas.
3. Riesgos a los que estn expuestos, tanto por agentes externos, casuales o
no, como por los accesos fsicos no controlados.
4. Amenazas de fuego, riesgos por agua, riesgos atmosfricos, o por riesgos
en la conduccin, problema en el suministro de electricidad.
5. Se debe de tener en cuenta los controles preventivos, tomando como punto
de partida los riesgos mencionados con anterioridad.
6. Se debe de controlar el contenido de bolsos, carteras, paquetes o cajas.
Este control afectara a las visitas, proveedores, contratados, clientes y en
general tambin a ex empleados ya que estos sern tratados como visitas a
la entidad.
7. Proteccin a los datos que se encuentren almacenados en discos de
carcter magntico, as como su posible transportacin.

En general debemos de tomar en cuenta que la mayora de todos estos controles

o aspectos de proteccin fsica pueden ser cubiertos o protegidos por medio de
seguros que son contratados por la entidad, aun as cuando se incluyan en el
proceso de auditora de seguridad fsica.
En conclusin el proceso que supone la realizacin de una auditoria de seguridad
fsica no solamente toma en cuenta la proteccin de aquellos recursos de la
entidad ajenos a la informtica, a aquellos procesos de negocio de la entidad,
toma en cuenta la proteccin de los recursos tecnolgicos, esta incluye al personal
de la entidad como, aspecto importante ya que en general el personal forma parte
importante de la entidad.

Podemos decir que la realizacin de auditoras de seguridad fsica es en esencia

de gran importancia para la sostenibilidad de la entidad ya que esta nos ayudara a
crear un diseo de seguridad fsica que permita la proteccin de todos los bienes
sean tecnolgicos o no, sino que tambin supondr la proteccin de aquellos
usuarios de los sistemas y del personal en general.

2. Seguridad Lgica

Una auditora de seguridad lgica se centra en auditar aspectos tcnicos de la

infraestructura en TIC, contemplando tantos aspectos de diseo de la arquitectura
desde el punto de vista de seguridad, como aspectos relacionados con los
mecanismos de proteccin desplegados para hacer frente a todo tipo de
incidentes lgicos.

La seguridad lgica consiste en la aplicacin de barreras y procedimientos que

resguardan el acceso a los datos y solo se permite el acceso a las personas
autorizadas para hacerlo.

La seguridad lgica se refiere a la seguridad en el uso de software y los sistemas,

la proteccin de los datos, procesos y programas, asi como la del acceso
ordenado y autorizado de los usuarios a la informacin.

El objetivo de la seguridad lgica es restringir el acceso a los programas y

archivos, asegurar que los operadores puedan trabajar sin una supervisin
minuciosa y no puedan modificar los programas ni los archivos que no
correspondan.
Asegurar que se estn utilizando los datos, archivos y programas correctamente,
que la informacin transmitida sea recibida solo por el destinatario a cul ha sido
enviada y no a otro y que sea la correcta.

Algunas consecuencias y riesgos que podra sufrir una empresa sino realiza este
tipo de auditoria:

1. Cambio de datos
2. Copias, robos o modificacin de programas y/o informacin
3. Cdigo oculto en un programa
4. Entrada de virus

Cada uno de los sistemas de informacin tiene una ruta de acceso, la cual puede
definirse como la trayectoria seguida en el momento de acceso al sistema. Los
tipos de restriccin de acceso a los datos son solo lectura, solo consulta, lectura y
consulta, y la que se tiene todo el acceso a la informacin.

El esquema de las rutas de acceso sirve para identificar todos los puntos de
control que pueden ser usados para proteger los datos en sistemas. El auditor
debe conocer las rutas de acceso para la evaluacin de los puntos de control
apropiados.

Un rea importante en la seguridad lgica de las claves de acceso de los usuarios.

Existen diferentes mtodos de identificacin para el usuario: El password y el
cdigo de acceso. Los cdigos de accesos pueden ser usados para controlar el
acceso a la computadora, a sus recursos, asi como definir el nivel de acceso o
funciones especficas.

Siempre se ha recomendado que la contrasea tiene que ser altamente difcil de

adivinar para otro usuario pero fcil para recordar por el dueo de esta y esto se
pone en peligro cuando el usuario ha de identificarse en distintos sistemas, para lo
que puede asignar la misma contrasea.

En la auditoria debemos verificar que el proceso de alta de usuarios se realiza

segn la normativa en vigor, asi como la gestin posterior como variaciones y
bajas. Otra posible debilidad que debe considerarse en la auditoria es si pueden
crearse situaciones de bloqueo porque solo exista un administrador, que pueda
que no este y este pueden impedir la creacin de nuevos usuarios. En este caso
se recomienda a otra persona que pueda utilizar el perfil del administrador para
poder crear los usuarios y contraseas para estos sistemas.

3. Seguridad de Datos

Un dato en informtica puede ser una letra o palabra que se suministra a la

computadora como entrada y la maquina almacena en un determinado formato,
posteriormente el dato ser procesado con otros datos por la computadora que
finalmente se le dar salida en determinado formato.

Para las empresas la proteccin de los datos se ha convertido en la prioridad

nmero uno, ya que para una empresa la perdida de estos seria como perder
todos sus activos, lo cual sera trgico para cualquier entidad.

Por esta razn las empresas invierten grandes sumas de dineros en sistemas de
seguridad que garanticen que todos sus datos sean procesados y almacenados
correctamente, buscando como evitar la prdida de estos y adems que sean
datos ntegros.

Una auditoria de seguridad de datos es una revisin que se aplica a una empresa
para detectar si se cumple con todas las medidas que requiere la propia normativa
de proteccin de datos. La cual indica que debe efectuarse cada dos aos en toda
empresa o entidad que trate datos a partir de nivel medio o cuando se haya
producido un cambio estructural u organizativo importante. Datos de nivel medio y
alto.

Ahora la proteccin de los datos puede tener varios enfoque respecto a: la

integridad, disponibilidad, confidencialidad, pueden haber varios tipos de dato,
tantos personales, datos sensibles, datos de carcter pblicos, datos electrnicos,
etc.
Ahora en cuanto al proceso de la auditoria de la seguridad de los datos, tenemos
que el objetivo de este es verificar la adaptacin de los ficheros automatizados de
datos personales a las obligaciones impuestas.

Toda auditora de proteccin de datos debe seguir un desarrollo, a travs de

distintas fases que a continuacin se detallan:

1 Fase: Identificacin de los datos personales

En ella se obtiene el mayor volumen de informacin posible, necesaria para poder

desarrollar y elaborar la Poltica de Seguridad a seguir, as como para desarrollar
el resto de fases de la auditora.

Desde el origen de los datos que puede ser dentro o fuera de la entidad. En
cuanto a la clasificacin de los datos e informacin debe revisarse quien la ha
realizado y segn qu criterios y estndares. Es conveniente que se distingan por
categoras, asociadas a reas funcionales o proyectos.

2 Fase: Nivel y medidas de seguridad aplicables

Una vez analizada toda la informacin, se procede a la determinacin del nivel de

medidas de seguridad que debe ser adoptado, en funcin del tipo de datos
personales contenidos en los ficheros.

3 Fase: Entrega del informe de auditora

Llegado este momento, se redacta el Informe general de la Auditora, en el que se

detallan las medidas a adoptar.

4 Fase: Ejecucin de la Auditoria

Finalmente se procede a la puesta en prctica de las medidas necesarias para la

correcta adecuacin a la normativa sobre proteccin de datos.

Tambin en esta auditora, si entra en sus objetivos, se analizar la destruccin de

la informacin clasificada: el tipo de destructora, tamao de las particular y
especialmente donde se almacenan hasta su destruccin, que puede ser un punto
dbil.

Con la auditoria de la seguridad de los datos podemos detectar si todo el circuito

de los datos de e personas, clientes, trabajadores, pacientes o cualquier dato
asociado a una persona fsica que entre por uno u otro motivo en esa empresa, es
tratado adecuadamente, con el objetivo de preservar, precisamente la proteccin
de esos datos, es decir, la privacidad de esos datos. Averiguar cmo llegan o se
recogen los datos de la persona; qu tratamiento se hace de ellos y cmo se
archivan o almacenan esos datos; a quin se comunican y cmo, para garantizar
que se est haciendo un tratamiento adecuado.

Conclusin:

Bibliografa:

Libro de Auditoria Informtica Mario Piatini pag. 400 - 405